Investigadores de InfoGuard Labs han documentado un nuevo tipo de Remote Access Trojan (RAT) desarrollado con el runtime JavaScript Deno, distribuido mediante una combinación de mailbombing (inundación de correos electrónicos) y llamadas fraudulentas en Microsoft Teams. El ataque explota la ingeniería social para generar confusión inicial, simulando una crisis técnica que justifica la descarga de un payload malicioso. El malware, modular y obfuscado, evade herramientas de detección tradicionales al aprovechar características de Deno y un canal de comunicación (C2) oculto tras un dominio de CloudFront. La ejecución inicial no generó alertas en sistemas con protección de punto de extremo activa, pero las actividades posteriores —como consultas LDAP y reconocimiento de certificados— revelaron la intrusión.
Indicadores de Compromiso (IoCs)
| Tipo | Indicador | Descripción |
|---|---|---|
| SHA-256 | d317371cf2b4cd524849551ffd3b97d91edbc17f6b39c8693217383ba6a0370d | archivo app.js |
| SHA-256 | 9469268c421b7821f897deb2d4d2316b21ff5da35bef417aa4e284010ef78302 | archivo back.js |
| SHA-256 | 3d8afae76c5982458849d21221e089ee161266a4248b12ea3048d1e79b76707e | archivo helper.js |
| SHA-256 | 2ed6fdfa5f9120306167ba5d8d48a62dbe5fd0d05e87c33c9784f08698f8a66b | archivo webui.js |
| SHA-256 | 3b48a334dcf0a08bed2a9766fd553474ae3014db600b65573dfee0f183e9d1d9 | archivo patch09913.bd |
| Dominio | 2cff16eusb8mg.cloudfront[.]net | servidor de comando y control (C2) hospedado en CloudFront |
Productos afectados
El ataque aprovecha vulnerabilidades en la cadena de confianza de Microsoft Teams y la ingeniería social para comprometer sistemas con Deno Runtime ejecutándose en entornos Windows. No se identifican vulnerabilidades específicas en versiones de software, sino un patrón de explotación basado en la manipulación del usuario y la evasión de herramientas de detección.
Solución
Implementar auditoría completa de Microsoft 365 y monitorear procesos de Deno iniciados desde directorios de escritura del usuario, junto con la validación de llamadas entrantes en Teams durante picos de actividad de correo electrónico.
Recomendaciones
Las organizaciones deben priorizar la capacitación en reconocimiento de ingeniería social, especialmente en escenarios de inundación de correos (mailbombing), y reforzar la autenticación multifactor (MFA) para cuentas de soporte técnico. Windows: Configurar alertas para procesos Deno en directorios como AppData y correlacionar eventos de Teams con patrones de correo sospechosos. Equipos de respuesta: Analizar logs de auditoría unificada para detectar llamadas externas simulando identidades internas antes de que se ejecute el payload.